风险特性
不确定性：可能发生也可能不发生，用 发生概率描述 损失：如果风险变成了现实就会产生恶 性后果或损失，用损失大小表示
风险管理
风险识别 风险分析 风险评估
风险管理
风险计划
风险控制
风险跟踪
风险应对
风险识别
将不确定性的事件转变为风险陈述的一系列 必要任务
目标
提出已察觉的风险
识别潜在的风险
风险分级对照表实例
W1 S1 A1 S2 A2 A1 A2 S4 G1 G2 G1 G2 S3 1 2 3 4 5 6 7 8 0 1 1 2 3 3 4 4 W2 0 1 2 3 4 5 6 7 0 0 1 1 2 3 3 4 W3 0 0 1 2 3 4 5 6 0 0 0 1 1 2 3 4 DIN IEC
S: 危害的程度 A: 持续的时间 G: 危险可预防 W: 发生的概率
风险分析举例(ATM)
ATM功能特征
查询余额 查询明细 取款 存款
行内转帐
银联转账 修改密码
风险分析举例(ATM)
序号 1 2 3 4 5 6 7 余额显示错误 余额计算错误 交易明细清单显示错误 实际取款与输入金额不一致 实际存款与存入金额不一致 操作日志记录错误 转帐过程异常中止 失效 发生概率 频繁 频繁 很少 频繁 频繁 频繁 较少
事故严重等级
类别 灾难 危险 定义 造成较大经济损失, 破坏数据完整性 造成较小经济损失
重大 较小
可忽略
造成银行工作量增加 让客户感到使用不便
无影响
风险分级表
灾难(16)
频繁(32) 很可能(16) 不经常(8) 较少(4) 很少(2) 极少(1) A(512) A(256) A(128) B(64) B(32) C(16)
危险(8) 危险(8)
灾难(16) 较小(2) 较小(2) 重大(4) 重大(4) 较小(2)
A(256) A(256)
A(512) D(8) B(32) D(8) E(4) B(64)
风险分析举例(ATM)
序号 1 2 3 4 5 6 失效 余额计算错误 操作日志记录错误 实际取款与输入金额不一致 实际存款与存入金额不一致 余额显示错误 异常吞卡 无法正确识别银行卡 发生概率 频繁(32) 频繁(32) 频繁(32) 频繁(32) 频繁(32) 频繁(32) 很可能(16) 失效影响 灾难(16) 灾难(16) 危险(8) 危险(8) 重大(4) 较小(2) 较小(2) 优先级 A(512) A(512) A(256) A(256) A(128) B(64)
危险
原因
控制
控制 原因
控制
验证
验证
可靠性与安全性分析技术
预先危险分析(PHA)
风险分析(RA) 失效模式、影响分析(FMEA) 失效树分析(FTA)
PHA
系统安全危害分析的初步或初始工作
在设计之前 , 对系统中存在的危险性类别、 出现条件、导致事故的后果进行分析
是基本的危险分析
FMEA目标
确定在设计或者运行过程中需要特别关注哪 些部件和采取哪些必要的措施
评定部件的关键性等级
确定某些部件的单点失效可能危害、损坏系 统或者使系统功能下降
FMEA工作表
序号 部件 功能 失效 模式 失效 原因 系统所 受影响 失效率 O S D RPN
FMEA一般工作流程
① 定义系统及分析范围 ② 构建结构图, 将软件分解为逻辑部件 ③ 评估每个部件对系统的影响 ④ 确定每个部件的潜在失效模式 , 将失效模式 ⑤ ⑥ ⑦
D
E
在正式项目评审认可时, 可接受
在任何条件下都可接受
发生概率
发生频度 运行生存期发生
频繁
很可能 不经常
10000 × 10-6; 可能频繁感受到
100 × 10-6; 可能经常发生 1 × 10-6; 可能发生数次
较少 很少
极少
0.01 × 10-6; 有时可能会发生
0.0001 × 10-6; 不大可能, 例外情况下 有可能发生 0.000001 × 10-6; 极其不可能发生
⑧
填入失效模式列表 评估每种失效模式的失效影响 确定每种失效模式所有可能的原因 , 识别单 点失效 分配失效率、发生频度、严重性、可检测性 的量值, 计算风险优先数 识别将开展、已开展、已实现的纠正活动
FMEA
分系统1
子系统1a
分系统2
分系统3
子系统1b 子系统1c
软件配置项1c1 软件配置项1c2 软件配置项1c3
重大
灾难 较小 危险 危险
6
7 8 9 10
操作日志记录错误
转帐过程异常中止 无法正确识别银行卡 修改密码，新密码无法预期 失效后，自动重启不成功
频繁
较少 很可能 很少 极少
灾难
较小 较小 重大 重大
11
异常吞卡
频繁
较小
风险分析举例(ATM)
序号 1 2 3 失效 余额显示错误 余额计算错误 交易明细清单显示错误 发生概率 频繁(32) 频繁(32) 很少(2) 失效影响 重大(4) 灾难(16) 较小(2) 优先级 A(128) A(512) E(4)
8
7 6 5 4 3 2 1
FMEA
可检测性评估
检测能力 通过设计控制装置发现的可能性 可检测性(D) 10
完全不确 控制装置仅有<1/500,000 的机会发现失效原因 /机制和 定 模式，或者没有设计控制装置
非常少
少
控制装置有1/50,000的机会发现失效原因/机制和模式
控制装置有1/5,000的机会发现失效原因/机制和模式
软件可靠性与安全性
第二部分
软件可靠性与安全性分析
提要
软件可靠性与安全性分析技术
1
3 2
基于分析结果的决策
可靠性与安全性分析目标
找出任何实际的、潜在的可导致严重后果的 危险
人员受伤、疾病或死亡
系统、设备、资产的损坏或经济损失
对环境的破坏
危险的结构
控制 原因 控制 控制 验证 验证 验证 验证
危险(8)
A(256) A(128) B(64) B(32) C(16) D(8)
重大(4)
B(64) B(64) B(32) C(16) D(8) E(4)
较小(2)
B(64) B(32) C(16) D(8) E(4) E(2)
可忽略(1)
B(32) C(16) D(8) E(4) E(2) E(1)
II
III
造成人员重大伤亡及系统严重 IV 灾难性的 破坏的灾难性事故，必须予以 果断排除并进行重点防范
PHA
危险发生的可能性分级
级别 A B C 发生的可能性 经常发生 容易发生 偶尔发生
D
E F
很少发生
不易发生 极难发生
风险分析
风险
可能会发生也可能不会发生的事件，该 事件的发生会带来损失
确定风险的驱动因素 确定风险来源 使用风险分析技巧和工具, 预测风险影响 根据标准评估风险
按与其他风险的关系排序风险
风险评估技术
风险影响(RE)
RE＝发生概率 ✘ 损失大小 风险评估技术 计算风险因子 PERT估计
专家判断
期望货币值 仿真
风险等级
风险 等级 A B C 不可接受 不期望, 仅当降低风险不现实时接受 在项目安全评审委员会认可时, 可接受 描述
发生频度评估 失效发生可能性描述 失效可能性(每单元) >1/2 1/10 1/100 1/500 1/1000 1/5000 1/10,000 1/50,000 1/100,000 发生(O)频度 10 9 8 7 6 5 4 3 2
非常高，几乎不可避免
高，反复失效 中等，偶尔失效 低，相当少的失效 很少，不太可能失效
< 1/500,000
1
FMEA
严重性评估
失效影响 失效影响严重性 严重等级(S)
ቤተ መጻሕፍቲ ባይዱ
危险，w/o 潜在的失效模式影响安全系统运行，且/或违背安全规 告警 范，且不提供任何告警信息
危险, w/ 告 潜在的失效模式影响安全系统运行，且/或违背安全规 警 范，但提供告警信息
10
9
非常高
高 中等 低 非常低 少 非常少 没有
部件 1c.3.1 部件1c.3.2 部件1c.3.3
总系统
单元1c.3.3.a 单元1c.3.3.b 单元1c.3.3.c
FMEA
确定潜在失效模式
头脑风暴 SFRACAS 根本原因分析 缺陷分类 市场调查 技术支持维护信息 客户反馈 安全保密脆弱性及威胁模式 对上一级别失效模式的分析
FMEA
8 9
10 11
无法正确识别银行卡 修改密码，新密码无法预期
失效后，自动重启不成功 异常吞卡
很可能 很少
极少 频繁
风险分析举例(ATM)
序号 失效 发生概率 失效影响
1
2 3 4 5
余额显示错误
余额计算错误 交易明细清单显示错误 实际取款与输入金额不一致 实际存款与存入金额不一致
频繁
频繁 很少 频繁 频繁
FMECA( 失 效 模 式 影 响 及 危 害 性 分 析 , Failure Mode Effects and Criticality Analysis) FMEDA( 失效模式影响和诊断分析 , Failure Modes Effects and Diagnostic Analysis)
系统不能运行，导致了主要功能丧失
系统可以运行，但是造成了性能降级(用户不满意) 系统可以运行，但是造成了辅助/方便性功能的丧失 系统可以运行，但是造成了辅助/方便性功能的降级 对大部分用户来讲，是显而易见的缺陷 对平均水平的用户来讲，是显而易见的缺陷 仅对具有鉴别力的用户来讲，是显而易见的缺陷 无影响